Натиҷаҳои санҷиши асбобҳо барои муайян кардани осебпазириҳои номатлуб ва муайян кардани масъалаҳои амниятӣ дар тасвирҳои алоҳидаи контейнери Docker. Аудит нишон дод, ки аз 4 сканери тасвирии маъруфи Docker 6-тоаш осебпазирии муҳимро дар бар мегирад, ки имкон медиҳад мустақиман ба худи сканер ҳамла карда, дар баъзе мавридҳо (масалан, ҳангоми истифодаи Snyk) бо ҳуқуқи реша ба иҷрои коди он дар система ноил гарданд.
Барои ҳамла, ҳамлакунанда танҳо бояд санҷиши Dockerfile ё manifest.json-и худро оғоз кунад, ки он метамаълумоти махсус тарҳрезишударо дар бар мегирад ё файлҳои Podfile ва gradlew-ро дар дохили тасвир ҷойгир мекунад. Истифодаи прототипҳо барои системаҳо
, ,
и
. Баста беҳтарин бехатариро нишон дод , ибтидо бо назардошти амният навишта шудааст. Дар баста низ ягон мушкилот муайян карда нашудааст. . Дар натиҷа, ба хулосае омад, ки сканерҳои контейнерии Docker бояд дар муҳитҳои ҷудогона кор кунанд ё танҳо барои тафтиши тасвирҳои худ истифода шаванд ва ҳангоми пайваст кардани ин асбобҳо ба системаҳои автоматии муттаҳидсозии пайваста эҳтиёткор бошанд.
Дар FOSSA, Snyk ва WhiteSource, осебпазирӣ бо даъват кардани менеҷери бастаҳои беруна барои муайян кардани вобастагӣ алоқаманд буд ва ба шумо имкон дод, ки иҷрои рамзи худро тавассути муайян кардани фармонҳои ламс ва система дар файлҳо ташкил кунед. и .
Snyk ва WhiteSource ба таври иловагӣ буданд , бо ташкили оғози фармонҳои система ҳангоми таҳлили Dockerfile (масалан, дар Snyk, тавассути Dockfile, имкон дошт, ки утилитаи /bin/ls, ки сканер даъват кардааст, иваз карда шавад ва дар WhiteSurce, иваз кардани код тавассути аргументҳо дар шакли "echo '; touch /tmp/hacked_whitesource_pip;=1.0 ′").
осебпазирии лангар бо истифода аз утилита барои кор бо тасвирҳои докер. Амалиёт барои илова кардани параметрҳо ба монанди '"os": "$(touch hacked_anchore)"' ба файли manifest.json, ки ҳангоми занг задан ба skopeo бидуни фирор дуруст иваз карда мешаванд (танҳо аломатҳои ";&<>" бурида шуданд, балки сохтмони "$( )").
Худи ҳамон муаллиф тадқиқот оид ба самаранокии муайян кардани осебпазирии нопадидшуда бо истифода аз сканерҳои амнияти контейнерии Docker ва сатҳи мусбатҳои бардурӯғ (, , ). Дар зер натиҷаҳои санҷиши 73 тасвирҳо мавҷуданд, ки осебпазирии маълум доранд ва инчунин самаранокии муайян кардани мавҷудияти замимаҳои маъмулиро дар тасвирҳо (nginx, tomcat, haproxy, gunicorn, redis, ruby, node) арзёбӣ мекунанд.
Манбаъ: opennet.ru